- Door
- Rashid Niamat
- geplaatst op
- 21 mei 2013 08:01 uur
ISPam.nl had de afgelopen week de mogelijkheid Ben van Erck, een van de schrijvers van het Verizon DBIR2013 rapport, te interviewen. In tegenstelling tot een aantal van zijn Amerikaanse collega’s is Ben veel meer bekend met de Nederlandse situatie. Het werd daardoor minder een interview over het rapport en meer een open gesprek over wat we zien als veiligheidsrisico’s op de Nederlandse markt.
Veiligheidsrisico is een brede term en daaronder vallen de ‘klassieke’ databreaches (DB’s), maar ook al die gevallen van online overlast waarbij de overlast uiteindelijk leidt tot het achterover drukken, aanpassen over kopiëren van digitale informatie. Bij dat laatste kan het bijvoorbeeld gaan om een grootschalige DDoS op een bank waarbij het doel niet is het platleggen van de banksite, maar het achterhalen van zoveel mogelijk klantgegevens. Maar een DDoS kan uiteraard ook een middel zijn om de aandacht van andere cybercriminele activiteiten af te leiden.
Verder pratend over de link tussen DB en DDoS kwamen we, overigens in lijn met de conclusies van het DBIR2013, tot de conclusie dat het goed zou zijn als verantwoordelijken voor data (wederom een brede term en een die hier zowel DC’s, hosters, bouwers als de klanten zelf betreft) eerder in staat zijn te signaleren dat er iets niet in orde is. Op basis van zijn data durfde Ben te stellen dat zelfs 80 procent van de onderzochte DB’s eerder waren opgevallen als men de signalen die er waren en die vaak ondubbelzinnig uit logfiles blijken, maar had begrepen.
Is dat nieuws? Niet echt, iedere professional kent de waarde van logfiles, maar weet ook dat er default weinig mee wordt gedaan. Logfiles zijn beschikbaar, maar weet de klant wat hij er mee moet of kan? Pas als er iets echt fout is gegaan, dringt bij de klant door dat er iets zou moeten zijn als logfiles (bijvoorbeeld omdat bij aangifte daar expliciet om gevraagd wordt). Die logfiles blijken dan trouwens niet zelden ‘opeens’ verdwenen of verminkt te zijn, omdat de cybercrimineel toegang tot ze had of omdat de leverancier verzuimde te controleren of ze wel werden aangemaakt.
Na die bittere constatering concentreerde het gesprek zich op een ander punt: hoe veilig zijn webomgevingen eigenlijk. Het zal weinigen verbazen dat er grote verschillen zijn, zowel in het EMEA-gebied waar Ben onderzoek naar heeft gedaan als ook in de landen zelf. Aan een website met wat statische informatie zullen als het goed is andere veiligheidseisen worden gesteld dan aan een complexe site met achterliggend CMS. In dat laatste geval gaan we er bijna automatisch van uit dat de bouwers ook echt aandacht besteden aan de veiligheid. Ben deed om dat automatisme te challengen hier een makkelijke suggestie op basis van de vraag: welke opdrachtgever checkt (zelf!) op basis van de online tools die ook de default hacker gebruikt of de net gemaakte site wel fatsoenlijk in elkaar zit? Dit soort checks levert weliswaar geen 100 procent garantie op, maar het kan het verschil uitmaken tussen een makkelijk slachtoffer zijn van cyberinbrekers of met rust gelaten te worden, omdat het net te moeilijk is. Maar als de opdrachtgever niet weet dat het mogelijk is hierop te testen, wie adviseert hem daar dan over? Is dat iets dat je als hoster zou moeten suggereren? Moet je als hoster klanten daarover actief informeren op de manier dat je waarschuwt voor het gebruik van te eenvoudige wachtwoorden? Kun je als hoster klanten suggesties doen over de eisen die zij moeten stellen aan een externe sitebouwer?
Daar kwamen we niet helemaal uit. Ben wist het wel terug te brengen tot de terechte constatering: ‘het draait eigenlijk heel vaak om een procurement vraag: wat koop ik nu eigenlijk; koop ik alleen dat iemand wat voor me uitvoert of koop ik óók de bescherming van mijn gegevens?’
De gemiddelde klant zal die vraag niet zelf formuleren, laat staan dat hij in staat is het antwoord dat hij erop krijgt te controleren. Daar lijkt ruimte te zijn voor de een mooi initiatief door aanbieders van de diensten, want zou het niet goed zijn als zij op het punt van veiligheidsmaatregelen zowel meer transparant en controleerbaar zouden zijn? En dan graag nog iets meer dan ‘zeg wat je doet en doe wat je zegt’.
